ソフトウェアにはいろいろな便利機構が用意されています。
それらの機能は通常のソフトウェア利用者の利便性を向上させます。
しかし同時に、ソフトウェアの作成者の想定しなかった方法を使うなどして、ソフトウェアの便利機構はマルウェア作成者に悪用されます。
そういった悪用される機構の一つにExcel XLLアドイン機構があります。
VBAマクロ機能でマルウェアを展開することの類似の方法として選択されるようになった手法の一つです。
この機構はExcelのたくさんある組み込みの関数のように、Excelのなかで使える関数を追加できます。
この機構は少し以前から悪用されていることが観測されていましたので、その安全化の方法の取り組みが開始されていました。
そして、2023年1月、Excel XLLアドイン防御機能の開発が計画され、公開は2023年3月の予定であることが案内されました。
その取り組みが予定に沿って推移し、現時点で近日全体公開になる予定になっています。
より安全になる方向での変更は大歓迎です。
ただし今回の時点のこの変更の対象は、Microsoft 365が対象となっています。
このXLLアドイン機能はExcel97以降利用できる方式ですのでこの脅威が関連する範囲はもっと広いと考えられます。
現在、Microsoft 365とそれ以外のExcelの利用数の内訳などは確認できていませんが、安全化がまだ実現されない環境も少なくないのではないでしょうか。
安全のためにはソフトウェアは最新に保たなければならない、これは真です。
しかしそもそもとして古い系列のソフトウェアをずっと使い続けるということも安全ではなくなる一つの方向性に思えます。
ソフトウェア提供者の提供するより新しいラインナップには最新の更新が提供されますが、古いラインナップへの更新の提供は最新のそれよりも充実することは基本的にないように思えます。
ソフトウェアを常に最新のものに乗り換えていくということは容易ではありませんが、こういった情報に触れると、そういうことの検討も重要なのかもしれないと考えさせられます。
参考記事(外部リンク):Block untrusted XLL add-ins by default
insider.office.com/ja-jp/blog/block-untrusted-xll-add-ins-by-default
この記事をシェア |
---|